Les données de clients de la RATP en libre accès

Le par  |  41 commentaire(s)
Navigo

Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site.

Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site. Mais parfois, le propriétaire en question refuse de reconnaître qu'il y a une faille, et donc ne la corrige pas...


La RATP et la sécurité : on avance, on avanceNavigo
Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d'une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d'Ile-de-France sans avoir de ticket à sortir) lorsqu'il s'est rendu compte qu'une partie de son numéro de dossier apparaissait dans l'adresse (URL) de la page en question.

Il réalise alors qu'en modifiant ce numéro, il peut accéder aux données de plusieurs autres abonnés, c'est à dire les noms, prénoms, adresses, emails, numéros de téléphone ou encore photos des personnes en question, sans qu'aucun mot de passe ne lui soit demandé. Il signale donc la faille en question à la RATP, la société de transport qui propose cette carte sur son site internet, ainsi qu'à Comutitres le groupe qui gère l'ensemble des titres de transport proposés en Ile-de-France.

Oui mais voilà, la RATP refuse de reconnaître qu'une faille est présente sur son site internet, et n'apporte que pour seule réponse la suppression des fiches que cet internaute a envoyées pour prouver l'existence de la faille.

Ne sachant plus que faire et ne souhaitant pas laisser cette faille en place car conscient du danger que cela représente, il se tourne alors vers l'association de consommateurs UFC Que-Choisir, qui signale à son tour le problème à la RATP. C'est seulement alors que la partie du site consacrée à la demande d'un passe Navigo aurait été fermée.

Le site est aujourd'hui toujours fermé, et il faut donc se tourner vers les autres dépositaires agréés par la RATP.


Et pendant ce temps, rien ne dit qu'une personne malveillante n'a pas pu se rendre également compte de l'existence de cette faille et récupérer ces données à l'insu des personnes concernées...
Complément d'information

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #128059
ça, c'est toub bonnement SCANDALEUX !
D'habitude, UFC aime bien lancer des procès, ça m'étonne qu'ils n'ont fait qu'avertir alors qu'il y avait délibérément de la négligence... en gros, elle sert à rien cette loi "informatique et libertés"....
Le #128060
Euh, si elle était pas là, la RATP n'aurait pas fermé son site ... Faut pas dire n'importe quoi non plus.

Et puis bon, franchement ça sert à quoi de faire un procès dans ce cas là '
Le mec qu'a fait ça est surement déjà viré, euh pardon promut (fonction publique oblige), le site est fermé/ Alors ca sert à quoi de faire un procès ' Juste à gagner des brouzoufs ' Quelle belle mentalité !
Le #128067
Et encore un site qui utilise des identifiants dans la barre d'adresse, sans aucune protection...

Mais ils ont quoi dans la tete les gars qui ont développé le site '

Encore un exemple non pas de faille informatique, mais de faille humaine.
Le #128071
appels d'offres, habitudes, copinages toussa bref incompetence etc.. ont voit souvent ca pour les marchés publiques malheureusement
Le #128072
+1 mogg

C'est exactement ça. Tu lances un appel d'offres pour la réalisation, et le vainqueur est celui qui a les + beaux slides powerpoint avec le moins d'?uros sur la dernière page.

Bien entendu, les décideurs dès qu'il faut payer une prestation sont tout sauf des personnes sensibles aux NTIC (en advanced).

Résultat : ils n'admettent même pas leur co...... et seule la peur de la Une du JT de PPDA les fait plier. Merci l'UFC quand même ...
Le #128074
être incompétent à ce point ... putain moi en totu cas je fais un google bombing sur Navigo et l'article !
Le #128078
@cr0vax : Belle mentalité ' On te mange la laine sur le dos et tu dis rien ' C'est pas un peu public la rtap, donc des gens élu pour bien faire le boulot et qui le font trés mal (scuze moi mais mettre des données utilisateurs sur le net pas protégée, c'est une faute grave à ce niveau).

Et en plus ils se planquent et refusent d'admettrent leurs responsabilités ' Mais pourquoi l'UFC n'attaque t il pas l'état moi je dirai, c'est d'une évidence. Ha si les classes actions etaient possible, je comprends que les élus ai peur qu'on puisse pointé leurs incompétences et leurs corruptions.
Le #128080
mais arrète dedire n'importe quoi, porter plainte apportera quoi '
La fermeture du site ' C'est déjà fait !
Virer le responsable ' C'est surement déjà fait ...
Rayer l'entreprise sous-traitente de la lsite des partenaires ' PAreil !
Faire en sorte que ça se reproduise pas à la RATP ' PAREIL !

La seule chose que ça peut rapporter, c'est de la THUNE.

Or la seule chose qu'UFC a voulu faire c'est que ça se reproduise pas. Ca s'appelle rendre service ... Mais apparemment, rendre service n'est pas une expressio nde ton vocabulaire.

Honnètement, en l'état ca ne sert absolument à rien de porter plainte.
En revanche, s'il s'avère que la publication des données a causé des dommage,s laors ok, portons plainte pour exiger réparation. Mais en l'état, franchement, aucune utilité ...
Le #128083
C'est vraiment des incompétents à la RATP.
Des nuls de première.
Heureusement que je n'habite pas Paris
Le #128084
Si ca peut te rassurer chris123, c'est pas la RATP qui a développé son site, et les incompétents qui l'ont fait peuvent oeuvrer partout ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]